本文讲的是Sophos推出下一代安全产品“Intercept X”,Sophos “Intercept X” 终端安全集成了下一代反漏洞利用和反勒索软件技术
网络安全世界里,敌人是不断改变和进化的,防御也必须适应和演进以应对新的威胁。安全公司Sophos在9月15日发布的 Intercept X 就是进化的具体表现,带来了对付最新威胁的下一代技术。
“下一代”这个词本身很难定义。Sophos终端用户安全小组高级副总裁丹·夏帕说:“我们一直努力解决的一个领域,就是给这个术语找到一个真正统一的定义。下一代防火墙已经有了统一的定义,但在终端产品上,众口难调。”
Sophos有它自己对下一代终端产品的定义。首先就是它所谓的网络安全“九大危险元素”:恶意URL、未授权App、可移动介质、可执行文件、MS文件和PDF文档、勒索软件、漏洞利用程序,以及清除和响应。
必须处理好覆盖整个过程的3个关键领域:预防、检测、清除和响应,而且必须用最新的技术。只有这样,才能被称作“下一代”。
Intercept X 就引入了新技术以解决九大危险元素中的后3个:加密型勒索软件、漏洞利用程序、清除和响应,且丝毫没有依赖恶意软件特征码。
所有加密型勒索软件都具备一个特征:加密文件。Intercept X 持续监视加密进程的启动。只要某进程开始加密,Intercept X 的机制便会对该进程启动行为分析。同时,受影响文件的未加密版本会被保存到加密区的安全存储中。一旦检出是需要被清除的恶意进程,该进程便会被杀死并清除掉;而受影响文件也会被恢复到原来的未加密版本。Intercept X 能阻止任意勒索软件,无论是已知的还是未知的,原始文件也能被恢复原状。如果行为分析显示进程合法,将不受任何影响地正常执行。
Intercept X 的反漏洞利用部分是新事物。从统计数据上看,90%的数据泄露都涉及到漏洞利用;90%的被利用漏洞都是已知漏洞。但从漏洞被公开到打上补丁之间,平均有193天的延迟。由于所有周二补丁后面都跟随有周三漏洞,有很大的窗口机会期供黑客进行漏洞利用。Sophos没有直接针对漏洞或漏洞利用程序,而是测定了漏洞利用中用到的24种不同技术。
去年大约有7000个漏洞曝出,攻击方法成千上万,但全部都用到这24种技术中的1个或几个。通过监测和封锁这些漏洞利用技术,Intercept X 能够不依赖恶意软件文件特征码就阻止零日漏洞利用攻击。预计每年会新增1到2种新技术,也将被分析并予以反击,不会再面对恶意软件及其变种的不断改变时疲于应付。
Sophos表示,66%的IT员工缺乏事件响应技术。因为没有完美的安全,公司企业无论用何种安全防御,都会发生安全事件。事件响应已成为安全武器库的重要组成部分,而 Intercept X 的第三部分,就是用来帮助公司企业运营有意义的响应的。同时也提供清除和鉴证功能。
如果观测到黑客或恶意软件试图使用某已知漏洞利用技术,终端上运行的数据记录器便会向Sophos中心发送“根源数据链”,建立所发生事件的报告。报告可以多种深度呈现,适应从国防承包商到小型零售商店的需要。初级用户可以点击警告提示,而 Intercept X 将显示事件内容、发生时间和位置、事发时段登录人员,以及事件是怎么发生的。另外还有为新手事件响应人员列出的处理步骤列表。
更有经验的用户可以再深挖一些。Intercept X 为专家级用户提供基于资产的表驱动报告。里面包含了各种细节,比如注册表做了哪些修改,启动了哪些进程等等。可点击具体条目查看更细节的东西,了解攻击过程。最高级就是对整个攻击的完全可视化。
Intercept X 可作为自成一体的独立产品安装。主Sophos中心终端产品已经安装的情况下,两个产品的代理将合二为一,提供单一的终端安全产品。若是层次化安全环境,也可作为平行产品安装,不会有任何干扰。